浏览器隔离绕过技术：Mandiant 发现基于 QR 码的恶意 C2 通信新方法

浏览器隔离是一种日益流行的安全技术。它通过云环境或虚拟机托管的远程 Web 浏览器路由所有本地浏览器的 Web 请求。网页上的任何脚本、恶意内容均在远程浏览器中执行而非本地设备。随后仅将页面的渲染像素流发送回本地浏览器仅呈现视觉外观从而有效保护本地设备免受恶意代码侵害。许多命令与控制C2服务器依赖 HTTP 通信而浏览器隔离能过滤恶意流量使此类隐蔽通信模型失效。What Is Remote Browser Isolation? | LayerXC2 与浏览器隔离的背景C2 通道是攻击者与受感染系统之间的核心恶意通信链路可实现远程控制设备、执行命令或窃取数据。由于浏览器需频繁与外部服务器交互在高安全环境中通常启用隔离措施以防止攻击者访问底层敏感数据。隔离技术通过云端、本地虚拟机或独立沙盒环境运行浏览器。当隔离激活时隔离浏览器处理所有 HTTP 请求仅将页面的可视内容流式传输至本地。这意味着 HTTP 响应中的脚本或命令永远无法到达目标设备显著增加了隐蔽 C2 通信的难度。Command and Control (C2) Servers - Bitdefender InfoZoneMandiant 的 QR 码绕过技巧Mandiant 研究人员提出了一种创新绕过现代浏览器隔离机制的新技术。攻击者不再将命令嵌入 HTTP 响应而是将其编码进网页上直观显示的二维码中。由于浏览器隔离仅剥离可执行脚本而保留视觉渲染结果二维码能完整返回给发起请求的本地客户端。在 Mandiant 的概念验证中“受害者”本地浏览器由先前植入的恶意软件控制无头客户端模式它会自动捕获二维码并解码提取指令从而实现 C2 通信。QR Code-Based C2 Attack Bypasses All Type of Browser Isolation Security使用二维码绕过浏览器隔离Mandiant 的 PoC 针对最新版 Google Chrome 浏览器通过 Cobalt Strike 的外部 C2 功能集成植入程序该工具包在渗透测试中被广泛滥用。攻击流程清晰可行本地植入程序通过 DevTools 导航至 C2 路径隔离浏览器返回含二维码的视觉内容本地恶意软件截图解码后执行命令并将输出反馈给 C2 服务器。QR Code - Chrome Web Store技术限制与纵深防御建议尽管 PoC 证明了攻击可行性但该技术并非完美存在现实世界适用性限制数据容量限制最大有效载荷约 2,189 字节仅为 QR 码最大容量的 74%若解码出错需进一步缩小包大小。延迟与带宽每个请求约需 5 秒传输速率仅约 438 字节/秒不适合大文件传输或建立 SOCKS 代理。额外防护因素未考虑域名信誉检查、URL 扫描、数据丢失防护DLP及请求启发式等措施这些在实际环境中可能直接阻断攻击。尽管带宽较低若未被有效拦截该基于 QR 码的 C2 技术仍可能造成严重威胁。Mandiant 强调浏览器现有的安全保护远非完美建议采用“纵深防御”策略结合多层安全措施全面提升防护能力。What is Defense in Depth. Defense in Depth is a security strategy… | by Ghost | Medium